Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - wifiath10kath10k_sta_state() でのピア削除に対して、ピアマップクリーンアップを追加します。切断操作でピア削除が失敗した場合、use-after-free が以下のログの KFENCE によって検出されました。これは、vdev_id とアドレスごとに struct ath10k_peer を 1 つしかなく、ath10k_peer_map_event() に割り当てられているためです。AP に接続されている場合、ファームウェアから報告された 1 つ以上の HTT_T2H_MSG_TYPE_PEER_MAP があり、構造体 ath10k の配列peer_map は、ath10k_peer_map_event() の同じ ath10k_peer に muti-elements が設定されます。ath10k_sta_state() でピアの削除が失敗した場合、ath10k_peer は、struct ath10k の配列 peer_map の 1 番目のピア ID に対して解放され、2 番目のピア ID では、同じ ath10k_peer にマッピングされるため、use-after-free が発生しました。ath10k_peer のための配列 peer_map の全てのピアをクリーンアップすると、user-after-free はピアマップのイベントログを全て消去します [ 306.911021] wlan0b0:2a:43:e6:75:0e で認証します [ 306.957187] ath10k_pci 0000 01:00.0mac vdev 0 ピア作成 b0:2a:43:e6:75:0e新しい stasta 1 / 32 ピア 1 / 33 [306.957395] ath10k_pci 0000:01:00.0htt ピアマップ vdev 0 ピア b0 :2a:43:e6:75:0e id 246 [ 306.957404] ath10k_pci 0000:01:00.0: htt ピアマップ vdev 0 ピア b0:2a:43:e6:75:0e id 198 [ 306.986924] ath10k_pci 0000:01 :00.0htt ピアマップ vdev 0 ピア b0:2a:43:e6:75:0e id 166 ピアアンマップイベントログ[ 435.715691] wlan0
    ローカル選択による b0:2a:43:e6:75:0e からの認証解除理由3=DEAUTH_LEAVING[ 435.716802] ath10k_pci 0000:01:00.0mac vdev 0 ピア削除b0:2a:43:e6:75:0e sta ffff990e0e9c2b50sta Gonます[435.717177] ath10k_pci 0000:01:00.0htt際のピア解除 vdev 0ピア b0:2a:43:e6:75:0e id 246 [ 435.717186] ath10k_pci 0000:01:00.0htt ピアのマップ解除vdev 0 ピア b0:2a:43:e6:75:0e id 198 [ 435.717193] ath10k_pci 0000:01:00.0htt ピア unmap vdev 0 ピア b0:2a:43:e6:75:0e id 166 use-after-解放ログ[21705.888627] wlan0ローカル選択による d0:76:8f:82:be:75 からの認証解除理由3=DEAUTH_LEAVING[21713.799910] ath10k_pci 0000:01:00.0ピア d0:76 の削除に失敗しましたvdev 0: -110 向けの :8f:82:be:75 [21713.799925] ath10k_pci 0000:01:00.0: sta ピア d0:76:8f:82:be:75ptr 000000000000000 id 102のエントリが見つかりました削除されたと考えられます [21713.799968============================================== ==========================================================21713.799991] バグ KFENCEath10k_sta_state+0x265/0xb8a における use-after-free 読み取り [ath10k_core] [21713.799991]21713.7999970x00000000abe1 での use-after-free 読み取りc75e kfence-#69): [21713.800010] ath10k_sta_state+0x265/0xb8a [ath10k_core] [21713.800041] drv_sta_state+0x115/0x677 [mac80211] [21713.800059] __sta_info_destroy_part2+0xb1/0x133 [mac80211] [] __sta_info_flush133321713.800076__sta_info_destroy_part2+0xb1/0x133 [] __sta_info_flush /0x162 [mac80211] [21713.800093] ieee80211_set_disassoc+0x12d/0x2f4 [mac80211] [21713.800110] ieee80211_mgd_deauth+0x26c/0x29b [mac80211] [21713.800137] cfg80211_mlme_deauth+0x13f/0x1bb [cfg80211] [21713.800153] nl80211_deauthenticate+0xf8/0x121 [cfg80211] [21713.800161] genl_rcv_msg+0x38e/0x3be [21713.800166] netlink_rcv_skb+0x89/0xf7 [21713.800171] genl_rcv+0x28/0x36 [21713.800176] netlink_unicast+0x179/0x24b [21713.800181] netlink_sendmsg+0x3a0/0x40e [21713.800187] sock_sendmsg+0x72/0x76 [21713.800192]
    __sys_sendmsg+0x16d/0x1e3 [21713.800196] __sys_sendmsg+0x95/0xd121713.800200[ ] __sys_sendmsg+0x85/0xbf [21713.800205] do_syscall_64+0x43/0x55 [21713.800210 ] entry_SYSCALL_64_after_hwframe+0x44/0xa9 [21713.800213[]  ] [21713.800219[]  kfence-#69] ] : 0x000000009149b0d5-0x000000004c0697fb, size=1064, cache=kmalloc-2k [21713.800219] ] [21713.800224] 21705.501373s で cpu 0 のタスク 13 によって割り当てられました
    21713.800241[  ] ath10k_peer_map_event+0x7e/0x154 [ath10k_core] [21713.800254] ath10k_htt_t2h_msg_handler+0x586/0x1039 [ath10k_core] [21713.800265] ath10k_htt_htc_t2h_msg_handler+0x12/0x28 [ath10k_core] [21713.800277] ath10k_htc_rx_completion_handler+0x14c/0x1b5 [ath10k_core] [21713.800283[ ] [ ] ath10k_pci_process_rx_cb+0x195/0x1d ---truncated---CVE-2022-50880]

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2022-50880

medium Nessus プラグイン ID 281503

バージョン 1.2